多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘:この頃、セキュリティ界隈で
過去2年でサイバー攻撃が急増しているにもかかわらず、多要素認証(MFA)やパスワードレス認証などの普及がなかなか進まない状況にある──米Microsoftは、そんな実態に警鐘を鳴らしている。
認証情報の窃取やネットワークへの不正侵入といったサイバー攻撃が過去2年で急増しているにもかかわらず、多要素認証(MFA)やパスワードレス認証といった強力なID認証手段の普及がなかなか進まない状況にある──米Microsoftはこのほど発表した報告書で、そんな実態に警鐘を鳴らしている。
サイバー脅威に関するMicrosoftの四半期報告書によれば、同社のクラウドベースID管理サービス「Azure Active Directory(AD)」を使っている法人のうち、多要素認証やパスワードレス認証などの強力なID認証を実装していたのは、2021年12月の時点で22%にとどまった。
攻撃者はそうした隙を突き、フィッシング詐欺メールやパスワード総当たりのブルートフォース攻撃、ソーシャルエンジニアリングなどあらゆる手段を使って認証情報を盗もうとする。「この1年の間にIDはセキュリティの主戦場になった。ユーザー認証をたった1つのパスワードのみに依存すれば、攻撃者に絶好の機会を与える」とMicrosoftは警告する。
実際、Microsoftが2021年1月〜12月にかけてブロックしたAzure AD認証に対するブルートフォース攻撃は256億を超え、「Microsoft Defender for Office365」では357億通ものフィッシング詐欺メールを阻止したとしている。
同社は1月下旬のブログでも、新手の手口を使った大規模フィッシング詐欺攻撃を検知したと伝え、多要素認証を設定していなかった組織で被害が広がったと伝えていた。
この攻撃ではまず、フィッシングなどの手口を使って狙った組織の認証情報を盗み出し、侵害したアカウントを踏み台にして組織内で足掛かりを拡大する。続いてBYOD(私物端末の業務利用)を悪用して自分たちが制御するデバイスをその組織のネットワークに登録し、社内の相手や取引先などを標的に、さらなるフィッシング攻撃を仕掛けていた。
こうした攻撃を受けたとしても、多要素認証を設定していた組織の大部分は、攻撃者が盗んだ認証情報を利用してデバイスやネットワークに不正アクセスする事態を阻止できていたという。一方、多要素認証を設定していなかった組織は、内部で攻撃が拡大していく展開を許していた。
フィッシングは依然として、狙った組織に侵入するための最初の足掛かりとして利用されることが最も多いとMicrosoftは解説する。在宅勤務の増加で社内と社外の境界がシフトする中、攻撃表面は一層拡大しているという。
「防御の観点からまずやらなければならないのは、認証情報の盗難や悪用、不正利用を防ぐことだ。これを防ぐ対策が欠かせない」(Microsoft脅威インテリジェンスセンターのクリストファー・グライヤーさん)。そうしたID関連の弱点に狙いを定める手口は、サイバー犯罪集団であれ、国家が関与する集団であれ、攻撃者の多くに共通しているという。
多要素認証については、米国土安全保障省のサイバーセキュリティ機関CISAも、重要インフラを担う組織にとって必須の対策と位置付けている。
CISAによれば「単要素認証の使用」、つまり多要素認証を設定せずにユーザー名とパスワードだけで認証を通過させてしまうやり方は「サポート期限切れのソフトウェア使用」「デフォルトのパスワード使用」と並んで「とてつもなく危険な」バッドプラクティスに並ぶという。
最近では多要素認証の突破を狙う手口も報告があり、攻撃の一層の高度化が予想される中、今後の展開を注視し続ける必要はある。それでも現時点で最低限の対策として、多要素認証が不可欠とされる状況は変わらない。
関連記事
- 米司法省、2018年にBitfinexから盗まれたビットコイン4160億円相当を押収、2人を逮捕
米司法省は2016年にBitfinexから盗まれたビットコイン、36億ドル(約4160億円)相当を押収し、ビットコインをロンダリングしようとした夫婦を逮捕したと発表した。 - 21年に漏えいした日本のパスワード、2位は「password」 1位は? ソリトンシステムズ調査
ソリトンシステムズが日本人が利用するパスワードランキングを発表した。2021年に発見された情報漏えい事件から分析したところ、1位は「123456」だった。 - Pocket Change、日本円硬貨の取り扱い終了 「取扱量がサービス継続困難な水準に達した」
資金決済業者のPocket Changeは、現金を電子マネーに変換できる端末「Pocket Change」の日本円硬貨の取り扱いを終了する。「サービスを維持し続けていく上で日本円硬貨の取扱量がサービス継続困難な水準に達した」と説明している。 - 「オメデト!」 マッチョな外国人たちからお祝い動画、6000円から 「割と頼みやすい」と話題に
マッチョな外国人からメッセージ動画をもらえるサービスがSNS上で話題になっている。30秒から60秒ほどの尺で、マッチョな外国人たちが並び立って日本語でメッセージを読み上げた後、銃の発砲やダンスなどのパフォーマンスを披露するというものだ。 - サンライズが社名変更 4月から「バンダイナムコフィルムワークス」に
テレビアニメ「機動戦士ガンダム」などで知られるサンライズは、4月1日から社名を「バンダイナムコフィルムワークス」に変更する。同日に、サンライズとバンダイナムコアーツの映像部門、バンダイナムコライツマーケティングが会社統合する。
Copyright © ITmedia, Inc. All Rights Reserved.